Настройка изолированных Серверов администрирования для закрытия уязвимостей в изолированной сети
После того, как настройка Сервера администрирования с доступом в интернет закончена, подготовьте каждый изолированный Сервер администрирования в вашей сети, чтобы вы могли закрывать уязвимости и устанавливать обновления на управляемых устройствах, подключенных к изолированным Серверам администрирования.
Чтобы настроить изолированные Серверы администрирования, выполните следующие действия на каждом из них:
- Активируйте лицензионный ключ для Системного администрирования.
- Создайте две папки на диске, где установлен Сервер администрирования:
- папку, в которой появится список необходимых обновлений;
- папку для патчей.
Названия папок могут быть любыми.
- Предоставьте группе KLAdmins право Изменение на созданные папки, используя стандартные средства администрирования операционной системы.
- С помощью утилиты klscflag укажите пути к папкам в свойствах Сервера администрирования.
Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
- Введите следующие команды в командной строке Windows:
- Чтобы указать путь к папке для исправлений:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<
путь к папке
>" - Чтобы задать путь к папке для списка необходимых обновлений:
klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<
path to the folder
>"
Пример:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "C:\FolderForPatches"
- Чтобы указать путь к папке для исправлений:
- С помощью утилиты klscflag укажите, как часто изолированный Сервер администрирования должен проверять наличие новых патчей (если требуется):
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <
value in seconds
>По умолчанию указано значение 120 секунд.
Пример:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 150
- Используйте утилиту klscflag для вычисления хешей SHA-256 патчей (если требуется):
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1
Введя эту команду, вы можете убедиться, что патчи не были изменены при их переносе на изолированный Сервер администрирования и что вы получили корректные патчи, содержащие необходимые обновления.
По умолчанию Kaspersky Security Center не вычисляет хеши SHA-256 патчей. Если включить этот параметр, после получения патчей изолированным Сервером администрирования Kaspersky Security Center вычисляет их хеши и сравнивает полученные значения с хешами, хранящимися в базе данных Сервера администрирования. Если вычисленный хеш не совпадает с хешем в базе данных, возникает ошибка и вам необходимо заменить неверные патчи.
- Создайте задачу Поиск уязвимостей и требуемых обновлений и установите расписание задачи. Запустите задачу, если вы хотите, чтобы она выполнялась раньше, чем указано в расписании задачи.
- Перезапустите службу Сервера администрирования.
После настройки всех Серверов администрирования вы можете переместить исправления и списки необходимых обновлений и закрыть уязвимости программ сторонних производителей на управляемых устройствах в изолированной сети.